Rootkit后门程序

Rootkit.Win32.Agent.fdo

捕获时间

2010-12-22

危害等级

中

病毒症状

  该样本是使用“C/C ”编写的木马程序，采用"Upack"加壳方式试图躲避特征码扫描,加壳后长度为“37,063”字节，图标为“”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播，病毒主要目的是控制用户机器。
　　用户中毒后，会出现系统运行缓慢、存在大量未知可疑进程、杀软失效或无法运行、系统重要资料丢失等现象。

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

文件捆绑、网页挂马、下载器下载
手动解决办法：

1.手动删除以下文件，并清空临时文件夹：
%ProgramFiles%\atxi\One.dll
%SystemRoot%\system32\drivers\One.sys
%SystemRoot%\\system32\regedit.exe
%SystemRoot%\system32\s9375812.exe(随机命名)

2.删除以下注册表项:
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\ONE\
名称：IMAGEPATH
数据：SYSTEM32\DRIVERS\ONE.SYS

HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\PCIDUMP
名称：IMAGEPATH
数据：SYSTEM32\DRIVERS\PCIDUMP.SYS

HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\
名称：KAV
数据：C:\WINDOWS\SYSTEM32\REGEDIT32.EXE

3.删除对安全软件的映像劫持注册表子项，对应以下注册表项：
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS

4.用正常host文件替换感染病毒之后的本机host文件。

变量声明：

%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”
病毒分析

1.样本运行后，创建名为"Tadf..."的互斥体防止程序重复运行。
2.创建线程，线程开始开启后枚举窗体，若找到进程为"avp.exe"、"kavstart.exe"(杀软进程)的窗口，则自身创建类名为"WCN321"的窗口，并将此窗口设置成杀软窗口的父进程，然后销毁"WCN321"窗口，达到关闭杀软窗口的目的。
3.创建进程快照，查找"ekrn.exe"、"egui.exe"（杀软进程）进程，若找到则尝试通过命令行方式停止、删除杀软所注册的服务，并结束杀软进程。
4.将自身进程提升到SeDebugPrivilege权限。
5.创建目录%ProgramFiles%\atxi，并在此目录下释放文件驱动文件One.sys及驱动配置安装文件One.inf，安装配置文件One.inf,以显示名为"One"的服务项加载One.sys驱动，对应以下注册表项目:
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\ONE\
名称：IMAGEPATH
数据：SYSTEM32\DRIVERS\ONE.SYS
6.One.sys驱动加载后，修改系统服务描述表，用以对抗杀软主动防御。
7.释放动态链接库One.dll文件到%ProgramFiles%\atxi目录下，并加载该动态链接库，调用其导出函数"testall"。该函数创建系统快照查找进程avp.exe，若找到则试图打开该进程，并尝试卸载该进程中的安全模块。之后用命令行的方式停止、删除avp.exe(杀软进程)注册的服务项，并结束该进程。
8.删除%ProgramFiles%\atxi文件夹下的One.sys及驱动配置文件One.inf文件。
9.释放文件s9375812.exe(随机命名)到%SystemRoot%\system32目录下，并运行该文件。
10.释放文件驱动文件pcidump.sys到%SystemRoot%\system32\drivers\文件加下，注册显示名为"pcidump"的系统服务，用以加载该驱动，对应以下注册表项:
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\PCIDUMP
名称：IMAGEPATH
数据：SYSTEM32\DRIVERS\PCIDUMP.SYS
11.驱动pcidump.sys加载后，对常见杀软建立映像劫持，指向svchost.exe文件，对应以下注册表项:
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS
12.删除驱动pcidump.sys，然后将自身移动到%SystemRoot%\\system32\目录下，更名为regedit.exe，在临时目录下建立k211.bat(随机命名)批处理，运行批处理，删除样本自身及批处理文件k211.bat。
13.s9375812.exe运行后，创建名为"XETTETT......"的互斥体对象，防止重复运行，并将自身进程提权到"SeDebugPrivilege"权限。
14.之后将系统文件wininet.dll复制到%Temp%文件夹下更名为"ope3.tmp"(随机命名)，然后加载该动态链接库，获取"InternetOpenA"系列函数用以连接网络。
15.修改注册表项目，达到regedit.exe病毒文件的开机运行，对应以下注册表项：
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\
名称：KAV
数据：C:\WINDOWS\SYSTEM32\REGEDIT32.EXE
16.创建线程，连接黑客指定网址，并发送本机mac地址，以便统计病毒感染量，修改本机host文件，屏蔽对一些安全网站的访问。
17.等待黑客命令，受黑客控制，用户电脑沦为傀儡。

病毒创建文件：

%ProgramFiles%\atxi\One.sys
%SystemRoot%\system32\drivers\One.sys
%ProgramFiles%\atxi\One.inf
%ProgramFiles%\atxi\One.dll
%SystemRoot%\system32\drivers\pcidump.sys
%SystemRoot%\\system32\regedit.exe
%SystemRoot%\system32\s9375812.exe(随机命名)
%Temp%\k211.bat(随机命名)
%Temp%\ope3.tmp(随机命名)

病毒删除文件：

%ProgramFiles%\atxi\One.sys
%ProgramFiles%\atxi\One.inf
%SystemRoot%\system32\drivers\pcidump.sys
%Temp%\k211.bat(随机命名)

病毒修改注册表：

HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\ONE\
名称：IMAGEPATH
数据：SYSTEM32\DRIVERS\ONE.SYS

HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\PCIDUMP
名称：IMAGEPATH
数据：SYSTEM32\DRIVERS\PCIDUMP.SYS

HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\
名称：KAV
数据：C:\WINDOWS\SYSTEM32\REGEDIT32.EXE

HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS

病毒访问网络：

http://bb.zh***b.com:81/co***.asp